Segurança

Como construir uma arquitetura de segurança adaptativa

Compartilhe:

A Transformação Digital e a adoção da computação em nuvem estão modificando o panorama de Tecnologia da Informação (TI) nas empresas. As organizações evoluíram a arquitetura de segurança para atender ambientes híbridos e multicloud.

Atualmente, ouvimos falar muito sobre arquitetura de segurança adaptativa para cumprir as exigências trazidas pela Transformação Digital, e sobre como as organizações analisam a viabilidade de implementá-la. Mas o que seria uma arquitetura de segurança adaptativa?

Em resumo, é uma arquitetura que realiza a proteção dos ativos de uma empresa considerando como contexto o permissionamento: usuário correto, em condições corretas, solicitando os acessos corretos aos dados corretos. Por exemplo: para permitir o acesso, será avaliado o usuário/senha, um duplo fator de autenticação, se o dispositivo está atualizado, se possui um agente instalado e se a requisição foi realizada de uma localização conhecida. A proteção é realizada de forma contínua, através de políticas dinâmicas (podendo-se negar o acesso a qualquer instante caso seja detectado algo suspeito), em vez de usar controles estáticos como sim/não.

Diversos frameworks de Segurança do mercado já falam sobre arquitetura adaptativa há algum tempo, como o Gartner CARTA (Continuous Adaptive Risk and Trust Assessment), que prega desde 2017 uma abordagem de adaptação contínua em um cenário de segurança em mudança. A filosofia é que, no mundo digital moderno, algumas transações devem ser permitidas mesmo quando a segurança ainda não é totalmente certa, através de ações para a mitigação dos riscos e maximizando a experiência do cliente.

Outra abordagem similar, que virou buzzword na atualidade, é o ZT (Zero Trust Security Framework), defendido inicialmente pelo Forrester e posteriormente pelo NIST (National Institute of Standards and Technology). Diferente da segurança tradicional baseada em perímetro, o ZT permite que a arquitetura de segurança se adapte aos requisitos de negócio, suportando o novo paradigma da TI pervasiva e permitindo somente o acesso aos recursos estritamente necessários e nas condições corretas.

É importante ressaltar também que o ZT e o CARTA não são simplesmente soluções tecnológicas, podemos compará-los a regulamentações de mercado. Ou seja, uma empresa está em conformidade com esses frameworks através da adoção conjunta de processos e tecnologia.

Por onde devemos começar?

O primeiro passo é criar uma governança corporativa sobre o tema e em seguida construir um roadmap de implementação. É importante tomar alguns cuidados na criação desse roadmap:

  1. Avaliar as soluções existentes na infraestrutura atual e verificar se elas podem ser o ponto de partida. Essa avaliação deve levar em consideração a maturidade das tecnologias, processos e cultura;
  2. Não existe uma solução “one size fits all”, é necessário pensar em uma estratégia mais ampla que envolva componentes mistos. Neste sentido, vale a pena considerar uma arquitetura com soluções e plataformas abertas que disponibilizem interoperabilidade, com APIs e protocolos abertos;
  3. Alinhar o apetite ao risco da empresa e sua cultura; levar em consideração essas variáveis, tanto na definição da sua arquitetura adaptativa quanto na estratégia de longo prazo;
  4. A implementação de uma segurança adaptativa não acontece em um piscar de olhos, a jornada deve ser encarada como uma maratona e não uma corrida de 100 metros rasos. A escolha correta dos parceiros de negócio durante a jornada também é fundamental;
  5. A governança deve contemplar um processo analítico de coleta de informações e mapeamento de riscos, para análise a efetividade das implementações realizadas, assim como refinar e retroalimentar as políticas de segurança estabelecidas;
  6. Implementar processos e tecnologias para orquestração da resposta a incidentes, pois não existe segurança absoluta. Caso um incidente ocorra, é necessário um processo automatizado e conectado à arquitetura de segurança.

Em linha com a Transformação Digital, é possível implementar uma arquitetura de segurança unificada, quantificando riscos, e com entregas ágeis.

Entenda

Descubra como a IBM Security pode ajudar a sua jornada de segurança. Acesse: ibm.biz/segurança

Vamos conversar?

Entre em contato com um representante da IBM.

CTO e Arquiteto de Segurança na IBM

Leia mais sobre

Gestão do Consentimento (Parte 3)

Qualquer coisa que os consumidores façam online, desde compras, pagamentos de contas ou assinaturas de novos serviços, se faz necessário algum tipo de compartilhamento de dados pessoais. Para efetivar – e aumentar – este consumo, os clientes querem ter uma boa experiência; sentir que seus dados serão usados apenas para o propósito correto e que […]

Dicas para melhorar a personalização de marketing com CIAM (Parte 2)

Encontrar o equilíbrio entre proteção dos usuários e boas experiências é o objetivo das soluções de Gestão de Identidade e Acesso do Consumidor (CIAM). Ei, psiu! Este artigo é parte da série #Consumer IAM. Acompanhe a tag para ficar por dentro das próximas publicações. Atrair mais clientes: essa frase já virou quase um gatilho para os […]

CIAM: reduzindo a complexidade sem perder a segurança (Parte 1)

“Quem está aí?” É uma pergunta comum, mas crítica nas empresas. E para saber quem tem o acesso correto, as organizações contam com ferramentas de Gerenciamento de Identidade e Acesso (IAM) com seus funcionários. Mas e os consumidores? É aqui que entra o conceito de CIAM, ou Consumer IAM. Esse é a primeira parte da […]